概念

このページでは、Cloudflare SSL/TLSに関連する重要な概念を定義し、説明します。このドキュメントで使用される概念については、Cloudflare Learning Center ↗を参照してください。

SSL/TLS証明書

SSL/TLS証明書は、ウェブサイトやアプリケーションが安全な接続を確立するために必要なものです。SSL/TLSを使用すると、クライアント（ブラウザなど）は接続先のサーバーの信頼性と整合性を確認し、情報を暗号化して交換することができます。

Cloudflareのグローバルネットワーク ↗は、Cloudflareが提供するいくつかの製品やサービスの中心にあるため、SSL/TLSに関しては、1つの証明書だけでなく、実際には1つのリクエストに2つの証明書が関与する可能性があります：エッジ証明書とオリジン証明書です。

エッジ証明書

エッジ証明書は、Cloudflareがあなたのウェブサイトやアプリケーションを訪れるクライアントに提示する証明書です。エッジ証明書は、Cloudflare Dashboard ↗を通じて管理できます。

flowchart LR
        accTitle: エッジ証明書とオリジン証明書
        accDescr: エッジ証明書がCloudflareとブラウザの間に位置し、オリジン証明書がCloudflareとオリジンサーバーの間に位置することを示す図。
        A[ブラウザ] <--エッジ証明書--> B((Cloudflare))<--オリジン証明書--> C[(オリジンサーバー)]

オリジン証明書

オリジン証明書は、Cloudflareとあなたのウェブサイトやアプリケーションのオリジンサーバーの間のネットワークのセキュリティと認証を保証します。オリジン証明書は、あなたのオリジンサーバーで管理されます。

SSL/TLS暗号化モードは、Cloudflareがこれらの証明書をどのように使用するかを制御し、SSL/TLS概要ページ ↗で異なるモードを選択できます。

有効期限

すべてのSSL/TLS証明書の一般的な側面の1つは、固定の有効期限が必要であることです。証明書が期限切れの場合、クライアント（訪問者のブラウザなど）は、安全な接続を確立できないと見なすため、警告やエラーが表示されます。

異なる証明書機関（CA）は、異なる有効期限をサポートしています。Cloudflareは、UniversalおよびAdvancedエッジ証明書が常に更新されるように、CAと連携しています。

証明書機関（CA）

証明書機関（CA）は、SSL/TLS証明書を生成し、発行する信頼できる第三者です。CAは、自身の秘密鍵で証明書にデジタル署名を行い、クライアントデバイス（訪問者のブラウザなど）が証明書が信頼できるものであることを確認できるようにします。

SSL証明書とは ↗に関する記事で説明されているように、これは、SSL/TLS証明書が期限切れでないだけでなく、証明書機関（CA）によって発行される必要があることを意味します。そうしないと、警告やエラーが発生します。

検証レベル

SSL/TLS証明書は、CAがどの程度検証したかによって異なります。証明書の種類 ↗に関する記事で説明されているように、SSL/TLS証明書はDV（ドメイン検証）、OV（組織検証）、またはEV（拡張検証）に分類されます。

Certificates issued through Cloudflare - Universal, Advanced, and Custom Hostname certificates - are Domain Validated (DV). You can upload a custom certificate if your organization needs OV or EV certificates.

オリジンプル

訪問者があなたのウェブサイトやアプリケーションからコンテンツをリクエストすると、Cloudflareは最初にキャッシュからコンテンツを提供しようとします ↗。この試みが失敗した場合、Cloudflareはオリジンウェブサーバーにリクエストを送信してコンテンツを取得します。このCloudflareとオリジンサーバー間のリクエストをオリジンプルと呼びます。

これは、エッジ証明書とオリジン証明書の違いに関連しており、暗号スイートなどの仕様が、Cloudflareと訪問者のブラウザ間の接続またはCloudflareとオリジンサーバー間の接続に応じて異なる設定ができる理由を説明します。

暗号スイート

有効な証明書が保証する認証と整合性の側面に加えて、SSL/TLS証明書のもう1つの重要な側面は暗号化です。暗号スイートは、暗号化/復号化に使用できるアルゴリズムのセットを決定し、SSL/TLSハンドシェイク ↗中に交渉されます。

このドキュメントの目的のために、Cloudflareのネットワークでサポートされている暗号スイートが、Cloudflareがオリジンサーバーに提示する暗号スイートと同じでない可能性があることを念頭に置いてください。

信頼ストア

SSL/TLS証明書と相互作用するオペレーティングシステム、ウェブブラウザ、またはその他のソフトウェアによって信頼される証明書機関（CA）および中間証明書のリストを信頼ストアと呼びます。Cloudflareは、公開されたGitHubリポジトリ ↗で信頼ストアを維持しています。

ほとんどの場合、クライアントがあなたのSSL/TLS証明書をチェックする際に、このリストやその使用方法について心配する必要はありませんが、カスタムオリジントラストストアやバンドル方法論などの機能は、これに直接関連しています。

信頼の連鎖

組織の要件に応じて、または証明書に関する問題をトラブルシューティングする必要がある場合、ルート証明書、中間証明書、リーフ証明書という用語に出くわすことがあります。

これらの用語は、クライアントに提示される証明書（リーフ証明書）が、信頼できる証明書機関（CA）証明書（ルート証明書 ↗）に遡る必要があることを指します。このプロセスは、信頼の連鎖 ↗に基づいて構成されています。

Cloudflare Dashboard Discord Community Learning Center Support Portal

Cookie Settings